1. Dator och IT
  2. Programvara: övriga operativsystem

Jag är körd [Gentoo/MySQL/alla databaser dropade]

Svara
2008-03-08, 20:06
  #1
HankTheTank
Medlem
Yes...

Snyggt topic? Jag vet.

Det är så att jag tror att imorse så har någon jävla idiot till tragisk själ lyckats hacka sig in på min sql-server och tagit bort alla mina databaser utan dessa två:

http://henkee.se/bilder/phpmya.png

Det viktigaste jag hade var min blogg. Men det känns så lustigt bara. Jag vet inte om det är så att det är hackat ännu. Så nu vill jag ha tips.

Vilka loggfiler ska jag kika?
mysql loggarna säger som vanligt inget.
messages säger heller inget större.
min apachelog ska jag kolla, men loggfilen e på 1.1G. Verkar inte som logrotator fungerar som det ska. Iofs är det en ganska busy apache, men whatever. Får väl sätta den i en screen och sen söka.

Men, ja, ge mig tips på vad jag ska kolla. Jag ha kollat efter .frm filer och liknande i /var/lib/mysql det är nada där. Vilket inte känns bra :/

Hilfe!!
Citera
2008-03-08, 20:22
  #2
_empty
Medlem
_emptys avatar
Börja med att kolla runt bland loggfilerna.

Kolla efter ändrade filer och liknande.

Sen installerar du om servern.
Citera
2008-03-08, 20:27
  #3
HankTheTank
Medlem
Citat:
Ursprungligen postat av _empty
Börja med att kolla runt bland loggfilerna.

Kolla efter ändrade filer och liknande.

Sen installerar du om servern.

Ok, men läs mitt inlägg en gång till. Vill ha tips på vilka loggar. Sen så har jag verkligen inte motivation att installera om servern. Vad du nu ens menar med det, sql servern eller hela köret.
Citera
2008-03-09, 13:01
  #4
init
Medlem
Citat:
Ursprungligen postat av HankTheTank
Vilka loggfiler ska jag kika?
mysql loggarna säger som vanligt inget.
messages säger heller inget större.

Är det verkligen någon som hackat sig in på datorn finns också risken att de raderat spåren i loggfilerna. På företag och andra större installationer brukar man därför ha speciella loggservrar, som tar emot loggar från alla andra maskiner. Då måste en cracker inte bara ändra i den lokala loggen, utan ta sig in på loggservrarna också.
Citera
2008-03-09, 13:23
  #5
HankTheTank
Medlem
Citat:
Ursprungligen postat av init
Är det verkligen någon som hackat sig in på datorn finns också risken att de raderat spåren i loggfilerna. På företag och andra större installationer brukar man därför ha speciella loggservrar, som tar emot loggar från alla andra maskiner. Då måste en cracker inte bara ändra i den lokala loggen, utan ta sig in på loggservrarna också.

Ja, visst. Det känns aningen idiotiskt att hacka sig in utan att ändra loggfiler. Dock, är det inte root kontot som är hackat. Det kan jag nästan svära på, men man ska väl iofs aldrig vara säker. Bara SQL databasen som är tömd och kollar man i bash.history så verkar det kolugnt... Så, jag vet inte.
Citera
2008-03-09, 13:33
  #6
HankTheTank
Medlem
Wohej...

Hittade åt nu... Nån sate från Mauritius har tagit sig in via phpmyadmin.
41.232.225.210 är ip-adressen. Nån som ska vara med å DDoSa fanskapet?

=)

Nåja dags att fixa en htaccess så jag kan bestämma från ipnummer vem som ska kunna komma åt det öht. Lort. Irriterande. Fan.
Citera
2008-03-09, 14:38
  #7
OSKEEER
Medlem
OSKEEERs avatar
Nog ingen direkt idé att DDosa IP-adressen från Mauritius då det med all säkerhet är en proxy! Tyvärr.
Citera
2008-03-09, 18:12
  #8
HankTheTank
Medlem
Citat:
Ursprungligen postat av OSKEEER
Nog ingen direkt idé att DDosa IP-adressen från Mauritius då det med all säkerhet är en proxy! Tyvärr.

Jo, tyvärr, men man kan ju få leka med tanken iaf och tro att det är nån som svär. Sen så har jag nog inte direkt kunnandet att utsätta någon för ngt sånt heller så det skiter sig i vilket fall
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in